DPAPI 非常适合保护敏感信息!不幸的是,DPAPI“可选熵”基本上是必须受到保护的另一条敏感信息。具有讽刺意味的。
我可以使用哪些可能(偷偷摸摸)的“熵”来源很难猜到?或者,我怎样才能保护熵?可能是隐写术?
FYI :我并不完全依赖熵本身。我将有其他障碍和加密层。我只是想提出另一个障碍。
额外的FYI :这只是一个个人项目,我保护我的偏执狂和好奇心。
答案 0 :(得分:2)
您可以使用RMS(Windows权限管理服务),这是DRM安全方案用于非常类似的目的(它们保留密钥,在您的情况下是熵,对用户隐藏,但在用户的帐户和计算机上)。 RMS再次依赖于DPAPI,但是通过Microsoft称为密码箱的系统。
答案 1 :(得分:2)
用于DPAPI的熵不一定是敏感信息。它可以是一个简单的盐,用于防止字典/彩虹表类型的攻击,或者它可以是用户输入密码,如果你想要额外的保护。 DPAPI通过用户凭据确保安全性,用户凭据用作加密所用实际密钥的密钥。因此,熵也可以是一些硬编码到应用程序中的随机字符串。只要用户凭据得到很好的保护,您的数据就不会有风险。